אבטחת אתר

אבטחת וורדפרס  למתקדמים

במידה וקראתם את כל ההמלצות שהמלצנו במאמר בנושא מדריך לאבטחת אתר וורדפרס 2019 ואתם מבצעים אותן בפועל, אתם במצב די טוב, אבל תמיד אפשר לשפר את רמת האבטחה באתר הוורדפרס שלכם. הפעם אנחנו מציעים מספר המלצות אשר משלבות בחלקן ידע בקידוד.

שינוי שם המשתמש המוגדר "מנהל"

בעבר, שם המשתמש  בדיפולט של וורדפרס היה "admin". מכיוון ששמות משתמש מהווים מחצית מהליך ההתחברות (שם משתמש + סיסמה), הדבר הקל על האקרים לבצע פיגועים בוורדפרס (brute-force attacks). למרבה המזל, וורדפרס שינתה את זה מאז ועכשיו מחייבת אותנו לבחור שם משתמש מותאם אישית בעת התקנת וורדפרס. 

עם זאת, שמנו לב כי לא מעט אנשים עדיין מגדירים את שם המשתמש המוגדר כברירת מחדל ל "admin". אם זה המצב גם אצלכם, כנראה שהגיע הזמן לעדכן. וורדפרס אינה מאפשרת לשנות שמות משתמשים כברירת מחדל, ישנן שלוש שיטות בהן אפשר לשנות את שם המשתמש:

  • יצירת שם משתמש חדש למנהל ומחיקת הישן.
  • התקנת תוסף מחליף שם המשתמש
  • עדכון שם המשתמש מ- phpMyAdmin

השבתה של עריכת קבצים

וורדפרס מגיעה עם עורך קוד מובנה המאפשר לערוך את קבצי הנושא והתוסף היישר מאזור הניהול של האתר. בידיים הלא נכונות, תכונה זו יכולה להיות סיכון ביטחוני וזו הסיבה שאנו ממליצים לכבות אותה. אפשר לעשות זאת בקלות על ידי הוספת הקוד המתאים.

השבתה של ביצוע קבצי PHP בספריות וורדפרס מסוימות

דרך נוספת להבטיח את אבטחת אתר הוורדפרס שלכם היא על ידי השבתת ביצוע קבצי PHP בספריות בהן אין צורך, כגון / wp-content / uploads /. אפשר יכול לעשות זאת על ידי פתיחת עורך טקסט כמו פנקס רשימות והדבקת קוד זה:

בשלב הבא יש לשמור קובץ זה כ- htaccess ולהעלות אותו ל / wp-content / העלאות / תיקיות באתר שלך באמצעות לקוח FTP. 

תוסף הכניסה WP Limit Login Attempts

כברירת מחדל, מערכת וורדפרס מאפשרת למשתמשים לנסות להתחבר מספר פעמים בלתי מוגבל, למשך זמן בלתי מוגבל. זה מותיר את אתר הוורדפרס שלכם פגיע להתקפות (brute force attacks). האקרים מנסים לפצח סיסמאות על ידי ניסיון להתחבר עם שילובים שונים. ניתן לתקן זאת בקלות על ידי הגבלת ניסיונות ההתחברות הכושלים שמשתמש יכול לבצע. אם אתם משתמש בחומת האש שהמלצנו עליה במאמר מדריך לאבטחת אתר וורדפרס 2019 זה יטופל אוטומטית. אם אין לכם את הגדרת חומת האש, אנו ממליצים לכם להתקין ולהפעיל את תוסף הכניסה LockDown. ניתן לתקן זאת על ידי חסימת מספר הנסיונות להתחברות, למשל, עד שלושה נסיונות.

אימות דו שלבי

רובינו מכירים את זה מג'ימייל, וזה עובד יופי, למה לא להתקין זאת גם באתר הוורדפרס? טכניקת האימות הדו שלבי, מחייבת שני שלבים לזיהוי המשתמש: הראשון הוא שם המשתמש והסיסמה, והצעד השני מחייב אותנו לאמת באמצעות מכשיר או אפליקציה נפרדים. רוב האתרים המקוונים המובילים כמו גוגל, פייסבוק, טוויטר מאפשרים לנו לאפשר זאת לחשבונות שלנו. מומלץ גם להוסיף את אותה פונקציונליות לאתר שלכם.

ראשית, יש להתקין ולהפעיל את התוסף. עם ההפעלה, יש ללחוץ על הקישור 'אימות דו שלבי  בסרגל הניהול של האתר. בשלב הבא יש להתקין ולפתוח אפליקציית אימות בטלפון. יש כמה זמינות כגון המאמת של Google, Authy ו- LastPass Authenticator.

אנו ממליצים להשתמש ב- LastPass Authenticator או ב- Authy מכיוון ששתיהן מאפשרות לכם לגבות את החשבונות לענן וזהו יתרון גדול, שימושי במיוחד במקרה שהטלפון אבד או שיש צורך לאפס אותו.

שינוי קידומת בסיס נתונים של וורדפרס

כברירת מחדל, וורדפרס משתמשת ב- _wp כקידומת לכל הטבלאות במסד הנתונים של וורדפרס. אם האתר שלכם משתמש בקידומת ברירת המחדל למסד הנתונים, זה בהחלט מקל על האקרים לנחש מה שם הטבלה שלך, וזו הסיבה שאנו ממליצים לשנות אותה. 

חשוב לציין כי מומלץ לבצע שינוי זה רק אם אתם מרגישים בנוח עם כישורי הקידוד שלכם, אחרת זה בהחלט יכול לפגום באתר.

הגנה באמצעות סיסמה על מנהל המערכת של וורדפרס ועל דף הכניסה

בדרך כלל, האקרים יכולים לבקש את תיקיית ה- wp-admin ואת דף הכניסה שלכם ללא כל הגבלה. זה מאפשר להם לנסות את הטריקים שלהם או להפעיל התקפות DDoS. באפשרותכם להוסיף הגנה נוספת על סיסמה ברמה של שרת, דבר שיחסום בקשות אלה ביעילות. 

השבתת אינדקס 

האקרים יכולים להשתמש בנתוני הגלישה של האתר כדי לגלות אם יש שם קבצים אותם יוכלו לנצל, כדי לקבל גישה. אנשים אחרים יכולים להשתמש בנתוני הגלישה כדי לבדוק קבצים, להעתיק תמונות, לברר את מבנה האתר ומידע אחר. זו הסיבה שמומלץ מאוד לכבות את האינדקס.

יש להתחבר לאתר באמצעות FTP או מנהל הקבצים של cPanel. בשלב הבא, יש אתר את קובץ ה- .htaccess בספריית השורש של האתר. לאחר מכן, יש להוסיף את השורה הבאה Options –Indexes בסוף קובץ ה- .htaccess, אל תשכחו לשמור ולהעלות קובץ .htaccess בחזרה לאתר. 

השבתת XML-RPC בוורדפרס

XML-RPC הופעל כברירת מחדל ב- WordPress 3.5 מכיוון שהוא מסייע בחיבור אתר הוורדפרס לאפליקציות אינטרנט וטלפון נייד. בגלל אופיו החזק, XML-RPC יכול להעצים משמעותית את  ההתקפות (brute-force attacks).לדוגמא, אם האקר רצה לנסות 500 סיסמאות שונות באתר האינטרנט שלכם, יהיה עליו לבצע 500 ניסיונות כניסה נפרדים אשר ייתפסו וייחסמו על ידי תוסף נעילת הכניסה.

אבל עם XML-RPC, האקר יכול להשתמש בפונקציה system.multicall כדי לנסות אלפי סיסמאות עם 20 או 50 בקשות. זו הסיבה שאם אינך משתמש ב- XML-RPC, אנו ממליצים שתשביתו אותה. ישנן 3 דרכים להשבית את XML-RPC בוורדפרס, ההמלצה שלנו היא שיטת ה- access, מכיוון שהיא הכי פחות עתירת משאבים. 

התנתקות אוטומטית ממשתמשי סרק

משתמשים מחוברים יכולים לפעמים להתרחק מהמסך, מה שמהווה סיכון ביטחוני, כיוון שמישהו יכול "לחטוף" את ההפעלה, לשנות סיסמאות או לבצע שינויים בחשבון שלהם. אגב, זו הסיבה שאתרים בנקאיים ופיננסיים רבים מתנתקים אוטומטית ממשתמש לא פעיל. אפשר ומומלץ יכול ליישם פונקציונליות דומה גם באתר הוורדפרס.

יש להתקין ולהפעיל את התוסף Inactive Logout. לאחר ההפעלה, יש לבקר ב- הגדרות »דף יציאה לא פעיל, כדי לקבוע את תצורת הגדרות התוסף. כל שעליכם לעשות הוא לקבוע את משך הזמן ולהוסיף הודעת יציאה. אל תשכחו ללחוץ על כפתור שמור השינויים כדי לאחסן את ההגדרות שלכם.

הוספת שאלות אבטחה למסך הכניסה לאתר

הוספת שאלת אבטחה למסך הכניסה לאתר הוורדפרס, מאוד מקשה על מישהו לקבל גישה לא מורשית. אפשר להוסיף שאלות אבטחה על ידי התקנת התוסף WP Questions Questions. לאחר ההפעלה, יש לבקר בדף הגדרות »שאלות בנושא אבטחה כדי לקבוע את הגדרות התוסף. 

WEB DEFENDER – תוסף אבטחה לסריקה 

ברגע שמותקן תוסף אבטחה, הוא יבדוק באופן שגרתי אם יש תוכנות זדוניות וסימנים להפרות אבטחה. עם זאת, אם אתם רואים ירידה פתאומית בטראפיק של האתר או בדירוג החיפוש, ייתכן שתרצו להפעיל סריקה ידנית. אפשר להשתמש בתוסף האבטחה שלכם, או להשתמש באחד מסורקי תוכנות זדוניות ואבטחה אלה. הפעלת סריקות מקוונות הוא תהליך די פשוט, מזינים את כתובות האתר והסורקים עוברים באתר כדי לחפש תוכנות זדוניות וקוד זדוני ידוע. 

אנו ממליצים על תוסף ה- WEB DEFENDER, אשר יכול בהחלט לתת מענה במידה והאתר נפגע ועליכם לבצע סריקה ידנית דחופה. זהו תוסף מצוין לסריקה, לא רק במקרים דחופים, אלא עבור פעילות שוטפת גם כן. 

CWATCH – חשיבות אבטחת האתר

משתמשי וורדפרס רבים אינם מבינים את חשיבות הגיבויים ואבטחת האתר עד שנפרץ האתר שלהם. ניקוי אתר וורדפרס יכול להיות קשה מאוד ולגזול זמן רב. העצה הראשונה שלנו היא לתת לאיש מקצוע לטפל בזה. האקרים מתקינים דלתות אחוריות באתרים, ואם דלתות אחוריות אלה אינן קבועות כראוי, סביר להניח שהאתר שלכם ייפרץ שוב. מתן אפשרות לחברת אבטחה מקצועית לתקן את אתר האינטרנט שלך תבטיח כי האתר שלכם בטוח לשימוש שוב, וגם יגן עליכם מפני התקפות עתידיות. אנו ממליצים על CWATCH, מוצר שותף של WPWITH.US  ושל חברת COMODO העולמית, כפתרון כולל לנושא האבטחה באתר; סריקת תוכנות זדוניות, ניקוי וירוסים, הסרת תוכנות ריגול, ועוד.